EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32018R1807

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807, annettu 14 päivänä marraskuuta 2018, muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa (ETA:n kannalta merkityksellinen teksti.)

PE/53/2018/REV/1

OJ L 303, 28.11.2018, p. 59–68 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2018/1807/oj

28.11.2018   

FI

Euroopan unionin virallinen lehti

L 303/59


EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1807,

annettu 14 päivänä marraskuuta 2018,

muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

ovat kuulleet alueiden komiteaa,

noudattavat tavallista lainsäätämisjärjestystä (2),

sekä katsovat seuraavaa:

(1)

Talouden digitalisoituminen kiihtyy. Tieto- ja viestintätekniikka ei ole enää erillinen toimiala vaan kaikkien nykyaikaisten innovatiivisten talousjärjestelmien ja yhteiskuntien perusta. Kyseisten järjestelmien keskiössä on sähköinen tieto, joka analysoituna tai palveluihin ja tuotteisiin yhdistettynä voi olla erittäin arvokasta. Samaan aikaan datatalouden ja uusien teknologioiden, esimerkiksi tekoälyn, esineiden internetin tuotteiden ja palvelujen, autonomisten järjestelmien ja 5G:n, nopea kehitys nostaa esiin uusia oikeudellisia kysymyksiä, jotka liittyvät tietojen saatavuuteen ja niiden uudelleenkäyttöön, vastuuseen, etiikkaan ja yhteisvastuuseen. Vastuukysymysten osalta olisi harkittava toimia erityisesti panemalla täytäntöön itsesääntelyyn perustuvia käytännesääntöjä ja muita parhaita käytäntöjä, ja tässä olisi otettava huomioon tietojenkäsittelyn koko arvoketjussa ilman ihmisen toimintaa tehtävät suositukset, päätökset ja toimet. Tällaisiin toimiin voisi kuulua myös sopivat mekanismit, jotka koskevat vastuun määrittämistä, vastuun siirtämistä yhteistyötä tekevien yksiköiden välillä, vakuutusta ja tarkastusta.

(2)

Tiedon arvoketjut perustuvat erilaisiin datatoimintoihin: tietojen luominen ja kerääminen, tietojen yhdistäminen ja järjestely, tietojen käsittely, tietojen analysointi, markkinointi ja jakelu, tietojen käyttö ja uudelleenkäyttö. Tietojen käsittelyn tehokkuus ja toimivuus on keskeinen osatekijä kaikissa tiedon arvoketjuissa. Tietojen käsittelyn tehokkuutta ja toimivuutta sekä datatalouden kehittämistä unionissa haittaavat kuitenkin erityisesti kahdenlaiset tietojen liikkuvuuden ja sisämarkkinoiden esteet: jäsenvaltion viranomaisten asettamat tietojen sijaintia koskevat vaatimukset ja yksityisen sektorin käytänteet, joissa on kyse riippuvuussuhteen syntymisestä tarjoajaan.

(3)

Tietojenkäsittelypalveluihin sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen mukaista sijoittautumisvapautta ja palvelujen tarjoamisen vapautta. Kyseisten palvelujen tarjoamista kuitenkin haittaavat tai toisinaan sen estävät kansalliset, alueelliset tai paikalliset vaatimukset, joiden mukaan tiedot on säilytettävä tietyllä alueella.

(4)

Tällaiset tietojenkäsittelypalvelujen vapaan liikkuvuuden ja palveluntarjoajien sijoittautumisoikeuden esteet johtuvat jäsenvaltioiden lainsäädäntöjen vaatimuksista, joiden mukaan tietoja on säilytettävä tietyllä maantieteellisellä alueella tietojen käsittelyä varten. Muilla säännöillä tai hallinnollisilla käytännöillä on vastaava vaikutus, kun niissä asetetaan erityisvaatimuksia, jotka vaikeuttavat tietojenkäsittelyä tietyn maantieteellisen alueen ulkopuolella unionissa, kuten vaatimuksia käyttää teknisiä välineitä, jotka ovat sertifioituja tai hyväksyttyjä tietyssä jäsenvaltiossa. Oikeudellinen epävarmuus tietojen sijaintia koskevien laillisten ja laittomien vaatimusten laajuudesta rajoittaa vielä lisää markkinatoimijoiden ja julkisen sektorin valinnanvaraa tietojenkäsittelyn sijaintipaikan suhteen. Tällä asetuksella ei rajoiteta millään tavalla yritysten vapautta tehdä sopimuksia siitä, missä tietoja säilytetään. Tällä asetuksella on tarkoitus ainoastaan suojata kyseistä vapautta varmistamalla, että säilytyspaikaksi voidaan sopia mikä tahansa paikka unionissa.

(5)

Tietojen liikkuvuutta unionissa estävät samaan aikaan myös yksityiset rajoitukset: oikeudelliset, sopimukselliset ja tekniset epävarmuustekijät ovat haittana tai esteenä silloin, kun tietojenkäsittelypalvelujen käyttäjät siirtävät tietojaan palveluntarjoajalta toiselle tai takaisin omaan tietotekniseen järjestelmäänsä, etenkin kun niiden sopimus palveluntarjoajan kanssa päättyy.

(6)

Kyseiset esteet yhdessä ovat johtaneet pilvipalvelujen tarjoajien välisen kilpailun puutteeseen unionissa, ongelmiin, jotka liittyvät riippuvuussuhteen syntymiseen tarjoajaan, ja tietojen huomattavan vähäiseen liikkuvuuteen. Lisäksi tietojen sijaintia koskevat menettelytavat ovat heikentäneet tutkimus- ja kehittämisyritysten mahdollisuuksia edistää yritysten, yliopistojen ja muiden tutkimuslaitosten välistä yhteistyötä innovoinnin vauhdittamiseksi.

(7)

Oikeusvarmuuden vuoksi ja koska on tarpeen luoda tasapuoliset toimintaedellytykset unionissa, yhdenmukaiset säännöt kaikille markkinatoimijoille ovat keskeinen tekijä sisämarkkinoiden toiminnalle. Jotta voidaan poistaa kaupan esteet ja kilpailun vääristymät, jotka johtuvat kansallisten lainsäädäntöjen eroista, sekä estää muiden todennäköisten kaupan esteiden ja merkittävien kilpailun vääristymien ilmaantuminen, on tarpeen vahvistaa kaikissa jäsenvaltioissa sovellettavat yhdenmukaiset säännöt.

(8)

Tämä asetus ei vaikuta luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä sekä yksityiselämän kunnioittamista ja henkilötietojen suojaa sähköisessä viestinnässä koskeviin oikeudellisiin puitteisiin, erityisesti Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/679 (3) sekä Euroopan parlamentin ja neuvoston direktiiveihin (EU) 2016/680 (4) ja 2002/58/EY (5).

(9)

Laajeneva esineiden internet, tekoäly ja koneoppiminen tuottavat merkittävän määrän muita kuin henkilötietoja esimerkiksi siksi, että niitä käytetään automatisoiduissa teollisuuden tuotantoprosesseissa. Muita kuin henkilötietoja saadaan esimerkiksi massadata-analyysiin käytettävistä yhdistetyistä ja anonymisoiduista tietojoukoista, täsmäviljelyssä torjunta-aineiden ja veden käytön valvomiseksi ja optimoimiseksi käytettävistä tiedoista tai teollisuuden koneiden kunnossapitotarpeita koskevista tiedoista. Jos tekniikan kehitys mahdollistaa anonymisoitujen tietojen muuttamisen henkilötiedoiksi, tällaisia tietoja on kohdeltava henkilötietoina, ja asetusta (EU) 2016/679 on sovellettava vastaavasti.

(10)

Asetuksen (EU) 2016/679 mukaisesti jäsenvaltiot eivät voi rajoittaa eivätkä kieltää henkilötietojen vapaata liikkuvuutta unionin sisällä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Tässä asetuksessa vahvistetaan sama vapaan liikkuvuuden periaate unionissa muiden kuin henkilötietojen osalta lukuun ottamatta tapauksia, joissa rajoitus tai kielto on perusteltu yleistä turvallisuutta koskevista syistä. Asetuksessa (EU) 2016/679 ja tässä asetuksessa vahvistetaan yhtenäiset säännöt, jotka mahdollistavat erityyppisten tietojen vapaan liikkuvuuden. Tällä asetuksella ei myöskään velvoiteta tallentamaan erityyppisiä tietoja erikseen.

(11)

Jotta voidaan luoda kehys muiden kuin henkilötietojen vapaalle liikkuvuudelle unionissa ja perusta datatalouden kehitykselle ja unionin tuotannonalan kilpailukyvyn parantamiselle, on tarpeen vahvistaa selkeä, kattava ja ennustettava oikeudellinen kehys muiden kuin henkilötietojen käsittelylle sisämarkkinoilla. Periaatteisiin pohjautuvalla toimintatavalla, jossa säädetään jäsenvaltioiden yhteistyöstä ja itsesääntelystä, olisi varmistettava riittävän joustava kehys, jossa voidaan ottaa huomioon käyttäjien, palveluntarjoajien ja kansallisten viranomaisten muuttuvat tarpeet unionissa. Jotta vältetään riski päällekkäisyydestä nykyisten järjestelyiden kanssa ja näin sekä jäsenvaltioille että yrityksille aiheutuvan rasituksen lisääminen, ei pitäisi vahvistaa yksityiskohtaisia teknisiä sääntöjä.

(12)

Tämän asetuksen ei pitäisi vaikuttaa tietojenkäsittelyyn, jos se toteutetaan osana toimintaa, joka ei kuulu unionin oikeuden soveltamisalaan. On todettava, että Euroopan unionista tehdyn sopimuksen 4 artiklan mukaisesti erityisesti kansallinen turvallisuus säilyy yksinomaan kunkin jäsenvaltion vastuulla.

(13)

Tietojen vapaalla liikkuvuudella unionissa on tärkeä asema datavetoisen kasvun ja innovoinnin toteutumisessa. Yritysten ja kuluttajien tavoin jäsenvaltioiden viranomaiset ja julkisoikeudelliset laitokset hyötyvät datavetoisten palvelujen tarjoajia koskevan valinnanvapauden lisääntymisestä, kilpailukykyisemmistä hinnoista ja palvelujen tehokkaammasta tarjoamisesta kansalaisille. Koska viranomaiset ja julkisoikeudelliset laitokset käsittelevät suuria määriä tietoja, on äärimmäisen tärkeää, että ne näyttävät esimerkkiä tietojenkäsittelypalvelujen käyttöönotossa ja että ne pidättyvät asettamasta tietojen sijaintia koskevia rajoituksia käyttäessään tietojenkäsittelypalveluja. Sen vuoksi viranomaisten ja julkisoikeudellisten laitosten olisi kuuluttava tämän asetuksen soveltamisalaan. Tältä osin tässä asetuksessa säädettyä muiden kuin henkilötietojen vapaan liikkuvuuden periaatetta olisi sovellettava myös yleisiin ja vakiintuneisiin hallinnollisiin käytäntöihin ja muihin tietojen sijaintia koskeviin vaatimuksiin julkisten hankintojen alalla, sanotun kuitenkaan rajoittamatta Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (6) soveltamista.

(14)

Kuten direktiivi 2014/24/EU, tämä asetus ei rajoita niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, jotka liittyvät jäsenvaltioiden sisäiseen organisaatioon ja jotka koskevat tietojenkäsittelyä, johon ei liity yksityisille osapuolille maksettavia sopimukseen perustuvia korvauksia, koskevan toimivallan ja velvollisuuksien jakoa viranomaisten ja julkisoikeudellisten laitosten välillä, eikä jäsenvaltioiden niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, joissa säädetään tämän toimivallan ja näiden velvollisuuksien täytäntöönpanosta. Vaikka viranomaisia ja julkisoikeudellisia laitoksia kannustetaan arvioimaan ulkopuolisille palveluntarjoajille ulkoistamisesta saatavia taloudellisia ja muita hyötyjä, niillä saattaa olla perusteltuja syitä valita palvelujen tarjoaminen itse tai ulkoistaminen. Tästä syystä mikään tässä asetuksessa ei velvoita jäsenvaltioita tekemään sopimuksia sellaisten palvelujen tarjoamisesta tai ulkoistamaan sellaisten palvelujen tarjoamista, jotka ne haluavat tarjota itse tai järjestää muuten kuin hankintasopimuksilla.

(15)

Tätä asetusta olisi sovellettava sellaisiin luonnollisiin henkilöihin tai oikeushenkilöihin, jotka tarjoavat tietojenkäsittelypalveluja unionissa oleskeleville tai unioniin sijoittautuneille käyttäjille, myös niihin, jotka tarjoavat tietojenkäsittelypalveluja unionissa ilman unionissa sijaitsevaa toimipaikkaa. Tätä asetusta ei siksi pitäisi soveltaa unionin ulkopuolella tarjottaviin tietojenkäsittelypalveluihin eikä näihin tietoihin liittyviin tietojen sijaintia koskeviin vaatimuksiin.

(16)

Tässä asetuksessa ei vahvisteta sääntöjä, jotka koskevat kauppaoikeudellisissa asioissa sovellettavan lain määrittämistä, eikä se näin ollen vaikuta Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 593/2008 (7) soveltamiseen. Erityisesti jos sopimukseen sovellettavaa lakia ei ole valittu kyseisen asetuksen mukaisesti, palvelujen tarjoamisesta tehtyyn sopimukseen sovelletaan lähtökohtaisesti sen maan lakia, jossa palveluntarjoajan vakinainen asuinpaikka on.

(17)

Tätä asetusta olisi sovellettava tietojenkäsittelyyn laajimmassa merkityksessä, johon kuuluu kaikentyyppisten tietoteknisten järjestelmien käyttö, riippumatta siitä, ovatko ne käyttäjän tiloissa tai onko ne ulkoistettu palveluntarjoajalle. Sen olisi katettava eritasoinen tietojenkäsittely tietojen tallentamisesta (infrastruktuuripalvelu – IaaS) tietojen käsittelyyn alustoilla (alustapalvelu – PaaS) tai sovelluksissa (ohjelmistopalvelu – SaaS).

(18)

Tietojen sijaintia koskevat vaatimukset muodostavat selkeän esteen tietojenkäsittelypalvelujen vapaalle tarjonnalle unionissa ja sisämarkkinoilla. Tämän vuoksi ne olisi kiellettävä, elleivät ne ole perusteltuja yleistä turvallisuutta koskevien syiden vuoksi, sellaisina kuin ne määritellään unionin oikeudessa, erityisesti Euroopan unionin toiminnasta tehdyn sopimuksen 52 artiklassa tarkoitetussa merkityksessä, ja edellyttäen, että ne ovat Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun suhteellisuusperiaatteen mukaisia. Jotta voidaan panna täytäntöön muiden kuin henkilötietojen rajatylittävää vapaata liikkuvuutta koskeva periaate, varmistaa tietojen sijaintia koskevien voimassa olevien vaatimusten poistaminen ja mahdollistaa toiminnallisista syistä useissa paikoissa unionissa tapahtuva tietojenkäsittely ja koska tässä asetuksessa säädetään toimenpiteistä, joilla varmistetaan tietojen saatavuus viranomaisvalvontaa varten, jäsenvaltioiden olisi voitava vedota vain yleiseen turvallisuuteen perusteena tietojen sijaintia koskeville vaatimuksille.

(19)

”Yleisen turvallisuuden” käsite, Euroopan unionin toiminnasta tehdyn sopimuksen 52 artiklassa tarkoitetussa merkityksessä ja sellaisena kuin unionin tuomioistuin sitä tulkitsee, kattaa sekä jäsenvaltion sisäisen että sen ulkoisen turvallisuuden samoin kuin yleiseen turvallisuuteen liittyvät kysymykset erityisesti rikosten tutkimisen, selvittämisen ja syytteeseen asettamisen helpottamiseksi. Sillä viitataan yhteiskunnan perustavanlaatuista etua uhkaavaan todelliseen ja riittävän vakavaan vaaraan, kuten valtion elinten ja keskeisten julkisten palvelujen toimintaan ja väestön eloonjäämiseen kohdistuvaan uhkaan, sekä ulkosuhteiden tai kansojen rauhanomaisen rinnakkaiselon vakavan häiriintymisen vaaraan tai sotilaallisiin etuihin kohdistuvaan uhkaan. Suhteellisuusperiaatteen mukaisesti sellaisten tietojen sijaintia koskevien vaatimusten, jotka ovat perusteltuja yleistä turvallisuutta koskevien syiden vuoksi, olisi sovelluttava tavoitellun päämäärän saavuttamiseen, eivätkä ne saisi ylittää sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(20)

Jotta voidaan varmistaa muiden kuin henkilötietojen rajatylittävää vapaata liikkuvuutta koskevan periaatteen tehokas täytäntöönpano ja estää uusien esteiden syntyminen sisämarkkinoiden moitteettomalle toiminnalle, jäsenvaltioiden olisi tiedotettava komissiolle välittömästi kaikista säädösehdotuksista, joilla otetaan käyttöön uusi tietojen sijaintia koskeva vaatimus tai joilla muutetaan voimassa olevaa vaatimusta. Kyseiset säädösehdotukset olisi toimitettava ja arvioitava Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (8) mukaisesti.

(21)

Jotta lisäksi voidaan poistaa mahdolliset nykyiset esteet, jäsenvaltioiden olisi tämän asetuksen soveltamisen alkamispäivästä alkavan 24 kuukauden siirtymäkauden aikana tehtävä arviointi voimassa olevista laeista, asetuksista ja yleisluonteisista hallinnollisista määräyksistä, joissa vahvistetaan tietojen sijaintia koskevia vaatimuksia, ja tiedotettava komissiolle perusteluineen kaikista tällaisista tietojen sijaintia koskevista vaatimuksista, joiden ne katsovat olevan tämän asetuksen mukaisia. Näin komissio voi tutkia, ovatko mahdolliset jäljelle jääneet tietojen sijaintia koskevat vaatimukset tämän asetuksen mukaisia. Komission olisi tarvittaessa voitava tehdä asianomaiselle jäsenvaltiolle huomautuksia. Tällaisiin huomautuksiin voisi sisältyä suositus tietojen sijaintia koskevan vaatimuksen muuttamisesta tai kumoamisesta.

(22)

Tässä asetuksessa säädettyä velvoitetta tiedottaa voimassa olevista tietojen sijaintia koskevista vaatimuksista ja säädösehdotuksista komissiolle olisi sovellettava säädösperusteisiin tietojen sijaintia koskeviin vaatimuksiin ja yleisluonteisiin säädösehdotuksiin, muttei yksittäisille luonnollisille henkilöille tai oikeushenkilöille osoitettuihin päätöksiin.

(23)

Jotta voidaan varmistaa laeissa, asetuksissa tai yleisluonteisissa hallinnollisissa määräyksissä säädettyjen tietojen sijaintia jäsenvaltioissa koskevien vaatimusten avoimuus luonnollisten henkilöiden ja oikeushenkilöiden, kuten tietojenkäsittelypalvelujen tarjoajien ja käyttäjien osalta, jäsenvaltioiden olisi julkaistava tiedot tällaisista vaatimuksista keskitetyssä kansallisessa verkkotietopisteessä ja saatettava kyseiset tiedot säännöllisesti ajan tasalle. Vaihtoehtoisesti jäsenvaltioiden olisi toimitettava ajan tasalla olevat tiedot tällaisista vaatimuksista jollakin toisella unionin säädöksellä perustetulle keskitetylle tietopisteelle. Jotta luonnollisille henkilöille ja oikeushenkilöille voidaan asianmukaisesti tiedottaa tietojen sijaintia koskevista vaatimuksista kaikkialla unionissa, jäsenvaltioiden olisi ilmoitettava komissiolle tällaisten keskitettyjen tietopisteiden osoitteet. Komission olisi julkaistava verkkosivuillaan kyseiset tiedot ja säännöllisesti päivitetty koottu luettelo kaikista jäsenvaltioissa voimassa olevista tietojen sijaintia koskevista vaatimuksista sekä tiivistelmä kyseisistä vaatimuksista.

(24)

Tietojen sijaintia koskevat vaatimukset perustuvat usein rajatylittävää tietojenkäsittelyä kohtaan tunnetun luottamuksen puutteeseen, joka johtuu siitä, että tietojen uskotaan olevan jäsenvaltioiden toimivaltaisten viranomaisten saavuttamattomissa esimerkiksi viranomaisvalvonnan tai valvovan tarkastuksen piiriin kuuluvia tarkastuksia varten. Tämä luottamus ei palaudu yksin sillä, että mitätöidään sellaiset sopimusehdot, jotka kieltävät toimivaltaisilta viranomaisilta laillisen pääsyn tietoihin virallisten tehtäviensä hoitamiseksi. Tämän vuoksi tässä asetuksessa olisi selkeästi säädettävä, että sillä ei ole vaikutusta toimivaltaisten viranomaisten oikeuksiin pyytää tietoja tai saada käyttöönsä tietoja unionin oikeuden tai kansallisen lainsäädännön mukaisesti ja että toimivaltaisten viranomaisten tiedonsaantia ei voida evätä sillä perusteella, että tietoja käsitellään toisessa jäsenvaltiossa. Toimivaltaiset viranomaiset voisivat asettaa toiminnallisia vaatimuksia tietoihin pääsyn tukemiseksi, ja ne voisivat esimerkiksi vaatia, että järjestelmäkuvaukset on säilytettävä asianomaisessa jäsenvaltiossa.

(25)

Luonnolliset henkilöt tai oikeushenkilöt, joita koskee velvoite toimittaa tietoja toimivaltaisille viranomaisille, voivat noudattaa tällaisia velvoitteita tarjoamalla ja turvaamalla toimivaltaisille viranomaisille tehokkaan ja nopean sähköisen pääsyn tietoihin, riippumatta jäsenvaltiosta, jonka alueella tietoja on käsitellään. Tällainen pääsy tietoihin voidaan varmistaa konkreettisilla ehdoilla ja edellytyksillä sen luonnollisen henkilön tai oikeushenkilön, jota tietojen saannin tarjoamisvelvoite koskee, ja palveluntarjoajan välisissä sopimuksissa.

(26)

Kun luonnollinen henkilö tai oikeushenkilö, jolla on velvollisuus antaa tietoja, ei noudata kyseistä velvollisuutta, toimivaltaisen viranomaisen olisi voitava pyytää apua muiden jäsenvaltioiden toimivaltaisilta viranomaisilta. Tällaisissa tapauksissa toimivaltaisten viranomaisten olisi käytettävä unionin oikeuden tai kansainvälisten sopimusten mukaisia erityisiä yhteistyövälineitä kunkin tapauksen erityisalan mukaan, kuten poliisiyhteistyön, rikos- tai siviilioikeuden tai hallinnollisten kysymysten alalla neuvoston puitepäätöstä 2006/960/YOS (9), Euroopan parlamentin ja neuvoston direktiiviä 2014/41/EU (10), tietoverkkorikollisuutta koskevaa Euroopan neuvoston yleissopimusta (11), neuvoston asetusta (EY) N:o 1206/2001 (12), neuvoston direktiiviä 2006/112/EY (13) ja neuvoston asetusta (EU) N:o 904/2010 (14). Jos tällaisia erityisiä yhteistyömekanismeja ei ole, toimivaltaisten viranomaisten olisi tehtävä keskenään yhteistyötä, jotta ne voivat antaa halutut tiedot saataville nimettyjen keskitettyjen yhteyspisteiden kautta.

(27)

Jos avunpyyntö edellyttää pyynnön vastaanottaneen viranomaisen pääsyä luonnollisen henkilön tai oikeushenkilön tiloihin, mukaan lukien kaikki tietojenkäsittelylaitteet ja -keinot, tiloihin pääsyssä on noudatettava unionin oikeutta tai kansallista prosessioikeutta, mukaan lukien vaatimukset oikeusviranomaisen ennakkoon myöntämästä luvasta.

(28)

Tämä asetus ei saisi antaa käyttäjille mahdollisuutta yrittää välttyä kansallisen lainsäädännön soveltamiselta. Tämän vuoksi tässä asetuksessa olisi säädettävä, että jäsenvaltiot määräävät tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia käyttäjille, jotka estävät toimivaltaisia viranomaisia saamasta pääsyä käyttäjien tietoihin, jotka ovat tarpeen toimivaltaisten viranomaisten unionin oikeudessa ja kansallisessa lainsäädännössä vahvistettujen virallisten tehtävien hoitamiseksi. Kiireellisissä tapauksissa, joissa käyttäjä käyttää oikeuttaan väärin, jäsenvaltioiden olisi voitava kohdistaa tähän ehdottoman oikeasuhteisia väliaikaisia toimenpiteitä. Kaikki sellaiset väliaikaiset toimenpiteet, jotka edellyttäisivät tietojen uudelleensijoittamista yli 180 päivän ajaksi uudelleensijoittamisen alkamisesta, poikkeaisivat tietojen vapaan liikkuvuuden periaatteesta huomattavan pitkäksi aikaa, ja niistä olisi sen vuoksi tiedotettava komissiolle, jotta tämä voi tutkia, ovatko ne unionin oikeuden mukaisia.

(29)

Mahdollisuus siirtää tietoja esteettä on keskeinen tekijä, kun vaikutetaan myönteisesti käyttäjien valinnan tekemiseen ja tehokkaan kilpailun toteutumiseen tietojenkäsittelypalvelujen markkinoilla. Tietojen siirtämisessä rajojen yli koetut todelliset tai oletetut vaikeudet heikentävät myös ammattimaisten käyttäjien luottamusta rajatylittäviin tarjouksiin ja siten niiden luottamusta sisämarkkinoihin. Voimassa oleva unionin oikeus suojaa yksittäisiä kuluttajia, mutta mahdollisuus vaihtaa palveluntarjoajaa ei ulotu liike- tai ammattitoimintaa harjoittaviin käyttäjiin. Yhdenmukaiset tekniset vaatimukset kaikkialla unionissa riippumatta siitä, koskevatko ne teknistä yhdenmukaistamista, vastavuoroista tunnustamista vai vapaaehtoista yhdenmukaistamista, edistävät nekin kilpailuun perustuvien tietojenkäsittelypalvelujen sisämarkkinoiden kehittämistä.

(30)

Jotta kilpaillusta ympäristöstä voidaan hyötyä täysimittaisesti, ammattimaisten käyttäjien olisi voitava tehdä tietoon perustuvia valintoja ja verrata helposti sisämarkkinoilla tarjottavien erilaisten tietojenkäsittelypalvelujen osatekijöitä, myös sopimusehtoja, jotka koskevat tietojen siirtämistä sopimuksen päättyessä. Jotta tietojenkäsittelypalvelujen tarjoajien ja ammattimaisten käyttäjien kokemus ja asiantuntemus voidaan liittää markkinoiden innovointipotentiaaliin ja ottaa ne huomioon, markkinatoimijoiden olisi itsesääntelyn avulla määriteltävä yksityiskohtaiset tieto- ja toimintavaatimukset tietojen siirtämiselle, ja komission olisi sellaisten unionin käytännesääntöjen muodossa, joihin voisi sisältyä mallisopimusehtoja, kannustettava ja tuettava markkinatoimijoita ja harjoitettava tätä koskevaa seurantaa.

(31)

Jotta tällaiset käytännesäännöt olisivat vaikuttavat ja helpottaisivat palveluntarjoajan vaihtamista ja tietojen siirtämistä, niiden olisi oltava kattavat ja niissä olisi käsiteltävä ainakin keskeisimpiä seikkoja, jotka ovat tärkeitä tietojen siirtämisen aikana, kuten varmuuskopiointiprosessit ja -paikka; käytettävissä olevat tietojen tallennusmuodot ja -välineet; vaadittu IT-kokoonpano ja kaistan vähimmäisleveys; siirtämisprosessin käynnistämiseen tarvittava aika sekä aika, jonka kuluessa tiedot ovat siirrettävissä; ja takeet pääsystä tietoihin, jos palveluntarjoaja menee konkurssiin. Käytännesäännöissä olisi myös täsmennettävä, että riippuvuussuhteen syntyminen tarjoajaan ei ole hyväksyttävä liiketoimintakäytäntö, niissä olisi tarjottava luottamusta lisääviä tekniikoita ja ne olisi saatettava säännöllisesti ajan tasalle tekniikan kehityksen huomioon ottamiseksi. Komission olisi varmistettava, että koko prosessin ajan kuullaan kaikkia asianomaisia sidosryhmiä, myös pienten ja keskisuurten yritysten, jäljempänä ’pk-yritykset’, sekä startup-yritysten järjestöjä, käyttäjiä ja pilvipalvelun tarjoajia. Komission olisi arvioitava tällaisten käytännesääntöjen laatimista ja täytäntöönpanon tehokkuutta.

(32)

Jos jonkin jäsenvaltion toimivaltainen viranomainen pyytää apua toiselta jäsenvaltiolta saadakseen tietoja käyttöönsä tämän asetuksen mukaisesti, sen olisi toimitettava nimetyn keskitetyn yhteyspisteen kautta asianmukaisesti perusteltu pyyntö kyseisen jäsenvaltion nimettyyn keskitettyyn yhteyspisteeseen; kyseiseen pyyntöön olisi sisällyttävä kirjallinen selvitys tietojen käyttöön saamisen perusteluista ja oikeusperustoista. Jäsenvaltion nimeämän keskitetyn yhteyspisteen, jonka apua on pyydetty, olisi avustettava pyynnön välittämisessä pyynnön kohteena olevan jäsenvaltion asiasta vastaavalle toimivaltaiselle viranomaiselle. Jotta voidaan varmistaa tehokas yhteistyö, viranomaisen, jolle pyyntö toimitetaan, olisi ilman aiheetonta viivytystä tarjottava apua vastauksena pyyntöön tai annettava tietoa vaikeuksista, joita tällaisen pyynnön täyttämiseen liittyy, tai perusteet pyynnön epäämiseen.

(33)

Rajatylittävän tietojenkäsittelyn turvallisuutta kohtaan tunnetun luottamuksen lisääntymisen pitäisi vähentää markkinatoimijoiden ja julkisen sektorin taipumusta käyttää tietojen sijaintia tietoturvallisuuden mittarina. Tämän pitäisi myös parantaa yritysten kannalta oikeusvarmuutta sen suhteen, että sovellettavia turvallisuusvaatimuksia noudatetaan yritysten ulkoistaessa tietojenkäsittelytoimiaan palveluntarjoajille, myös toisiin jäsenvaltioihin sijoittautuneille palveluntarjoajille.

(34)

Kaikkia tietojenkäsittelyyn liittyviä turvallisuusvaatimuksia, joita sovelletaan perustellusti ja oikeasuhteisesti unionin oikeuden tai kansallisen lainsäädännön pohjalta unionin oikeuden mukaisesti sen luonnollisen henkilön asuinjäsenvaltiossa tai oikeushenkilön sijoittautumisjäsenvaltiossa, jonka tiedoista on kyse, olisi edelleen sovellettava kyseisten tietojen käsittelyyn toisessa jäsenvaltiossa. Kyseisten luonnollisten henkilöiden tai oikeushenkilöiden olisi voitava täyttää tällaiset vaatimukset joko itse tai palveluntarjoajien kanssa tehtävissä sopimuksissa olevien sopimuslausekkeiden kautta.

(35)

Kansallisella tasolla vahvistettujen turvallisuusvaatimusten olisi oltava välttämättömiä ja oikeasuhteisia tietojenkäsittelyn turvallisuuteen kohdistuviin riskeihin nähden sen kansallisen lainsäädännön soveltamisalalla, jossa nämä vaatimukset on vahvistettu.

(36)

Euroopan parlamentin ja neuvoston direktiivissä (EU) 2016/1148 (15) säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi unionissa. Tietojenkäsittelypalvelut muodostavat yhden kyseisen direktiivin soveltamisalaan kuuluvista digitaalisista palveluista. Kyseisen direktiivin mukaan jäsenvaltioiden on varmistettava, että digitaalisen palvelun tarjoajat määrittävät ja toteuttavat asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden käyttämien verkko- ja tietojärjestelmien turvallisuuteen. Tällaisilla toimenpiteillä olisi varmistettava riskiin nähden asianmukainen turvallisuuden taso, ja niissä olisi otettava huomioon järjestelmien ja tilojen turvallisuus, poikkeamien käsittely, toiminnan jatkuvuuden hallinta, seuranta, tarkastukset ja testaukset sekä kansainvälisten standardien noudattaminen. Nämä seikat määritetään tarkemmin direktiivin nojalla annettavissa komission täytäntöönpanosäädöksissä.

(37)

Komission olisi esitettävä kertomus tämän asetuksen täytäntöönpanosta erityisesti tekniikan tai markkinoiden kehitykseen perustuvien muutostarpeiden selvittämiseksi. Kertomuksessa olisi erityisesti arvioitava tätä asetusta ja etenkin sen soveltamista sekä henkilötietoja että muita kuin henkilötietoja sisältäviin tietojoukkoihin ja yleistä turvallisuutta koskevan poikkeuksen täytäntöönpanoa. Ennen kuin tätä asetusta aletaan soveltaa, komission olisi myös julkaistava suuntaa antavat ohjeet siitä, miten sekä henkilötietoja että muita kuin henkilötietoja sisältäviä tietojoukkoja olisi käsiteltävä, jotta yritykset, myös pk-yritykset, ymmärtäisivät paremmin tämän asetuksen ja asetuksen (EU) 2016/679 keskinäisen vaikutuksen ja jotta varmistetaan, että molempia asetuksia noudatetaan.

(38)

Tässä asetuksessa kunnioitetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja perusoikeuksia ja noudatetaan siinä tunnustettuja periaatteita, ja sitä olisi tulkittava ja sovellettava kyseisten oikeuksien ja periaatteiden mukaisesti, mukaan lukien oikeus henkilötietojen suojaan, sananvapauteen ja tiedonvälityksen vapauteen sekä elinkeinovapauteen.

(39)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on muiden kuin henkilötietojen vapaan liikkuvuuden varmistaminen unionissa, vaan se voidaan sen laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

1 artikla

Kohde

Tämän asetuksen tavoitteena on varmistaa muiden kuin henkilötietojen vapaa liikkuvuus unionissa vahvistamalla säännöt, jotka koskevat tietojen sijaintia koskevia vaatimuksia, tietojen saatavuutta toimivaltaisten viranomaisten käyttöön ja tietojen siirtämistä ammattimaisia käyttäjiä varten.

2 artikla

Soveltamisala

1.   Tätä asetusta sovelletaan sellaiseen muiden sähköisten tietojen kuin henkilötietojen käsittelyyn unionissa,

a)

joka tarjotaan palveluna käyttäjille, jotka oleskelevat unionissa tai ovat sijoittautuneet unioniin, riippumatta siitä, onko palveluntarjoaja sijoittautunut unioniin vai ei; tai

b)

jonka luonnollinen henkilö tai oikeushenkilö, joka oleskelee unionissa tai on sijoittautunut unioniin, toteuttaa omiin tarpeisiinsa.

2.   Jos tietojoukko sisältää sekä henkilötietoja että muita kuin henkilötietoja, tätä asetusta sovelletaan muita kuin henkilötietoja koskevaan tietojoukon osaan. Jos tietojoukossa olevat henkilötiedot ja muut kuin henkilötiedot liittyvät erottamattomasti toisiinsa, tämä asetus ei rajoita asetuksen (EU) 2016/679 soveltamista.

3.   Tätä asetusta ei sovelleta toimintaan, joka ei kuulu unionin oikeuden soveltamisalaan.

Tämä asetus ei rajoita niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, jotka liittyvät jäsenvaltioiden sisäiseen organisaatioon ja jotka koskevat tietojenkäsittelyä, johon ei liity yksityisille osapuolille maksettavia sopimukseen perustuvia korvauksia, koskevan toimivallan ja velvollisuuksien jakoa viranomaisten ja direktiivin 2014/24/EU 2 artiklan 1 kohdan 4 alakohdassa määriteltyjen julkisoikeudellisten laitosten välillä, eikä jäsenvaltioiden niiden lakien, asetusten ja hallinnollisten määräysten soveltamista, joissa säädetään kyseisen toimivallan ja kyseisten velvollisuuksien täytäntöönpanosta.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

1)

’tiedoilla’ muita tietoja kuin asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja;

2)

’käsittelyllä’ mitä tahansa toimintoa tai toimintoja, joita kohdistetaan sähköisessä muodossa oleviin tietoihin tai tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

3)

’säädösehdotuksella’ tekstiä, joka on laadittu sitä varten, että se pannaan täytäntöön lakina, asetuksena tai yleisluonteisena hallinnollisena määräyksenä, ja joka on valmisteluvaiheessa, jossa siihen voidaan vielä tehdä olennaisia muutoksia;

4)

’palveluntarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa tietojenkäsittelypalveluja;

5)

’tietojen sijaintia koskevalla vaatimuksella’ velvoitetta, kieltoa, ehtoa, rajoitusta tai muuta vaatimusta, josta säädetään jäsenvaltion laeissa, asetuksissa tai hallinnollisissa määräyksissä tai joka on seurausta jäsenvaltiossa ja julkisoikeudellisissa laitoksissa, myös julkisiin hankintoihin liittyvissä elimissä – tämän kuitenkaan vaikuttamatta direktiivin 2014/24/EU soveltamiseen – sovelletuista yleisistä ja johdonmukaisista hallinnollisista käytännöistä ja jonka mukaan tietojenkäsittelyn on tapahduttava tietyn jäsenvaltion alueella tai joka muodostaa esteen tietojenkäsittelylle jossain muussa jäsenvaltiossa;

6)

’toimivaltaisella viranomaisella’ jäsenvaltion viranomaista tai mitä tahansa muuta elintä, joka on kansallisen lainsäädännön mukaisesti valtuutettu hoitamaan julkishallinnon tehtäviä tai käyttämään julkista valtaa ja jolla on valtuudet saada virallisten tehtäviensä hoitamiseksi käyttöönsä luonnollisen henkilön tai oikeushenkilön käsittelemiä tietoja unionin oikeuden tai kansallisen lainsäädännön mukaisesti;

7)

’käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä, myös viranomaista tai julkisyhteisöä, joka käyttää tai pyytää tietojenkäsittelypalvelua;

8)

’ammattimaisella käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä, myös viranomaista tai julkisyhteisöä, joka käyttää tai pyytää tietojenkäsittelypalvelua tarkoituksiin, jotka liittyvät sen elinkeino-, liike- tai ammattitoimintaan tai tehtävään.

4 artikla

Tietojen vapaa liikkuvuus unionissa

1.   Tietojen sijaintia koskevat vaatimukset kielletään, elleivät ne ole suhteellisuusperiaatetta noudattaen perusteltuja yleistä turvallisuutta koskevien syiden vuoksi.

Tämän kohdan ensimmäinen alakohta ei rajoita 3 kohdan ja voimassa olevan unionin oikeuden perusteella säädettyjen tietojen sijaintia koskevien vaatimusten soveltamista.

2.   Jäsenvaltioiden on tiedotettava komissiolle välittömästi kaikista säädösehdotuksista, joilla otetaan käyttöön uusi tietojen sijaintia koskeva vaatimus tai tehdään muutoksia voimassa olevaan tietojen sijaintia koskevaan vaatimukseen, noudattaen direktiivin (EU) 2015/1535 5, 6 ja 7 artiklassa vahvistettuja menettelyjä.

3.   Jäsenvaltioiden on viimeistään 30 päivänä toukokuuta 2021 varmistettava, että mahdolliset voimassa olevat laeissa, asetuksissa tai yleisluonteisissa hallinnollisissa määräyksissä säädetyt tämän artiklan 1 kohdan vastaiset tietojen sijaintia koskevat vaatimukset kumotaan.

Jos jäsenvaltio katsoo, että tietojen sijaintia koskevan vaatimuksen sisältävä voimassa oleva toimenpide on tämän artiklan 1 kohdan mukainen ja voi näin ollen pysyä voimassa, sen on viimeistään 30 päivänä toukokuuta 2021 tiedotettava kyseisestä toimenpiteestä komissiolle ja esitettävä perustelut sen voimassa pitämiselle. Komissio tutkii kuuden kuukauden kuluessa tällaisen tiedonannon vastaanottamisesta, onko toimenpide tämän artiklan 1 kohdan mukainen, ja tekee tarvittaessa asianomaiselle jäsenvaltiolle huomautuksia, joihin sisältyy tarvittaessa suositus muuttaa toimenpidettä tai kumota se, sanotun kuitenkaan rajoittamatta Euroopan unionin toiminnasta tehdyn sopimuksen 258 artiklan soveltamista.

4.   Jäsenvaltioiden on asetettava yksityiskohtaiset tiedot kaikista alueellaan sovellettavista laeissa, asetuksissa tai yleisluonteisissa hallinnollisissa määräyksissä säädetyistä tietojen sijaintia koskevista vaatimuksista julkisesti saataville kansallisen keskitetyn verkkotietopisteen kautta ja pidettävä nämä tiedot ajan tasalla tai toimitettava ajan tasalle saatetut tiedot kaikista tällaisista sijaintia koskevista vaatimuksista jollakin toisella unionin säädöksellä perustetulle yhteiselle tietopisteelle.

5.   Jäsenvaltioiden on ilmoitettava komissiolle 4 kohdassa tarkoitetun keskitetyn tietopisteensä osoite. Komissio julkaisee verkkosivustollaan linkin tällaiseen tietopisteeseen tai linkit tällaisiin tietopisteisiin sekä säännöllisesti ajan tasalle saatettavan kootun luettelon kaikista 4 kohdassa tarkoitetuista tietojen sijaintia koskevista vaatimuksista, mukaan lukien tiivistelmän kyseisistä vaatimuksista.

5 artikla

Toimivaltaisten viranomaisten tiedonsaanti

1.   Tämä asetus ei vaikuta toimivaltaisten viranomaisten valtuuksiin pyytää tai saada käyttöönsä unionin oikeuden tai kansallisen lainsäädännön mukaisesti tietoja virallisten tehtäviensä hoitamiseksi. Toimivaltaisten viranomaisten tiedonsaantia ei voida evätä sillä perusteella, että tietoja käsitellään toisessa jäsenvaltiossa.

2.   Jos toimivaltainen viranomainen ei saa käyttäjän tietoja käyttöönsä niitä pyydettyään ja jos unionin oikeuden tai kansainvälisten sopimusten nojalla ei ole erityistä yhteistyömekanismia tietojen vaihtamiseksi eri jäsenvaltioiden toimivaltaisten viranomaisten kesken, toimivaltainen viranomainen voi pyytää apua toisen jäsenvaltion toimivaltaiselta viranomaiselta 7 artiklassa säädettyä menettelyä noudattaen.

3.   Jos avunpyyntö edellyttää pyynnön vastaanottaneen viranomaisen pääsyä luonnollisen henkilön tai oikeushenkilön tiloihin, mukaan lukien tietojenkäsittelylaitteet ja -keinot, tällaisessa tiloihin pääsyssä on noudatettava unionin oikeutta tai kansallista prosessioikeutta.

4.   Jäsenvaltiot voivat määrätä unionin oikeuden ja kansallisen lainsäädännön mukaisesti tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia tietojen antamista koskevan velvoitteen noudattamatta jättämisestä.

Jos käyttäjä käyttää oikeuksia väärin, jäsenvaltio voi kohdistaa kyseiseen käyttäjään ehdottoman oikeasuhteisia väliaikaisia toimenpiteitä, jos tämä on perusteltua tietojen saannin kiireellisyyden vuoksi ja ottaen huomioon osapuolten edut. Jos väliaikainen toimenpide edellyttää tietojen uudelleensijoittamista yli 180 päivän ajaksi uudelleensijoittamisen alkamisesta, tästä on tiedotettava komissiolle kyseisen 180 päivän ajanjakson aikana. Komissio tutkii toimenpidettä ja sen yhteensopivuutta unionin oikeuden kanssa mahdollisimman nopeasti ja toteuttaa tarvittaessa tarvittavat toimenpiteet. Komissio vaihtaa 7 artiklassa tarkoitettujen jäsenvaltioiden keskitettyjen yhteyspisteiden kanssa tietoja tältä osin saaduista kokemuksista.

6 artikla

Tietojen siirtäminen

1.   Kilpailuun perustuvan datatalouden edistämiseksi komissio edesauttaa ja helpottaa sellaisten itsesääntelyyn perustuvien käytännesääntöjen, jäljempänä ’käytännesäännöt’, kehittämistä unionin tasolla, jotka pohjautuvat avoimuuden ja yhteentoimivuuden periaatteisiin ja joissa otetaan asianmukaisesti huomioon avoimet standardit ja jotka kattavat muun muassa seuraavat seikat:

a)

parhaat käytännöt, jotka koskevat palveluntarjoajien vaihtamisen ja tietojen siirtämisen helpottamista rakenteellisessa, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, mukaan lukien avoimen standardin mukaiset tietomuodot tarvittaessa tai tietoja vastaanottavan palveluntarjoajan pyynnöstä;

b)

vähimmäistietovaatimukset, joilla varmistetaan, että ammattimaiset käyttäjät saavat ennen tietojenkäsittelyä koskevan sopimuksen tekemistä riittävän yksityiskohtaiset, selkeät ja avoimet tiedot prosesseista, teknisistä vaatimuksista, määräajoista ja maksuista, joita sovelletaan, jos ammattimainen käyttäjä haluaa siirtyä käyttämään toista palveluntarjoajaa tai siirtää tietoja takaisin omiin tietoteknisiin järjestelmiinsä;

c)

tietojenkäsittelytuotteiden ja ammattimaisille käyttäjille tarkoitettujen palvelujen vertailua helpottaviin sertifiointijärjestelmiin liittyvät lähestymistavat, joissa otetaan huomioon vakiintuneet kansalliset tai kansainväliset normit kyseisten tuotteiden ja palvelujen vertailtavuuden helpottamiseksi. Tällaiset lähestymistavat voivat liittyä muun muassa laadun, tietoturvallisuuden, toiminnan jatkuvuuden ja ympäristöasioiden hallintaan;

d)

monialaiset viestintäsuunnitelmat käytännesääntöjen tekemiseksi tunnetuiksi sidosryhmien keskuudessa.

2.   Komissio varmistaa, että käytännesäännöt laaditaan tiiviissä yhteistyössä kaikkien asiaankuuluvien sidosryhmien, myös pk-yritysten sekä startup-yritysten järjestöjen, käyttäjien ja pilvipalvelujen tarjoajien kanssa.

3.   Komissio kannustaa palveluntarjoajia saattamaan käytännesääntöjen laatimisen päätökseen viimeistään 29 päivänä marraskuuta 2019 ja panemaan ne tehokkaasti täytäntöön viimeistään 29 päivänä toukokuuta 2020.

7 artikla

Viranomaisten yhteistyötä koskeva menettely

1.   Kunkin jäsenvaltion on nimettävä keskitetty yhteyspiste, joka on yhteydessä muiden jäsenvaltioiden keskitettyihin yhteyspisteisiin ja komissioon tämän asetuksen soveltamisesta. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä keskitetyt yhteyspisteet ja niiden myöhemmät muutokset.

2.   Jos yhden jäsenvaltion toimivaltainen viranomainen pyytää 5 artiklan 2 kohdan nojalla apua toiselta jäsenvaltiolta saadakseen käyttöönsä tietoja, sen on toimitettava kyseisen jäsenvaltion keskitettyyn yhteyspisteeseen asianmukaisesti perusteltu pyyntö. Pyyntöön on sisällyttävä kirjallinen selvitys tietojen käyttöön saamisen perusteluista ja oikeusperustoista.

3.   Keskitetyn yhteyspisteen on yksilöitävä asiasta vastaava jäsenvaltionsa toimivaltainen viranomainen ja toimitettava 2 kohdan mukaisesti vastaanotettu pyyntö kyseiselle toimivaltaiselle viranomaiselle.

4.   Pyynnön vastaanottavan asiasta vastaavan toimivaltaisen viranomaisen on ilman aiheetonta viivytystä ja kohtuullisessa ajassa pyynnön kiireellisyyteen nähden toimitettava vastaus, jossa se antaa pyydetyt tiedot tai ilmoittaa pyytävälle toimivaltaiselle viranomaiselle, että se ei katso tämän asetuksen mukaisten avun pyytämistä koskevien ehtojen täyttyvän.

5.   Mitä tahansa tietoja, jotka 5 artiklan 2 kohdan mukaisesti pyydetyn ja annetun avun yhteydessä vaihdetaan, saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

6.   Keskitettyjen yhteyspisteiden on annettava käyttäjille yleisiä tietoja tästä asetuksesta, myös käytännesäännöistä.

8 artikla

Arviointi ja ohjeet

1.   Komissio esittää viimeistään 29 päivänä marraskuuta 2022 Euroopan parlamentille, neuvostolle ja Euroopan talous- ja sosiaalikomitealle kertomuksen, jossa se arvioi tämän asetuksen täytäntöönpanoa ja erityisesti seuraavia seikkoja:

a)

tämän asetuksen soveltaminen erityisesti sekä henkilötietoja että muita kuin henkilötietoja sisältäviin tietojoukkoihin markkinoiden ja tekniikan kehityksen, jotka saattavat lisätä tietojen anonymisoinnin poistamista koskevia mahdollisuuksia, perusteella;

b)

4 artiklan 1 kohdan täytäntöönpano jäsenvaltioissa ja erityisesti yleistä turvallisuutta koskeva poikkeus; ja

c)

käytännesääntöjen laatiminen ja tehokas täytäntöönpano sekä palveluntarjoajien tehokas tietojen toimittaminen.

2.   Jäsenvaltioiden on toimitettava komissiolle 1 kohdassa tarkoitetun kertomuksen laatimista varten tarvittavat tiedot.

3.   Komissio julkaisee viimeistään 29 päivänä toukokuuta 2019 suuntaa antavat ohjeet tämän asetuksen ja asetuksen (EU) 2016/679 keskinäisestä vaikutuksesta erityisesti sekä henkilötietoja että muita kuin henkilötietoja sisältävien tietojoukkojen osalta.

9 artikla

Loppusäännökset

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tätä asetusta sovelletaan kuuden kuukauden kuluttua sen julkaisemisesta.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Strasbourgissa 14 päivänä marraskuuta 2018.

Euroopan parlamentin puolesta

Puhemies

A. TAJANI

Neuvoston puolesta

Puheenjohtaja

K. EDTSTADLER


(1)  EUVL C 227, 28.6.2018, s. 78.

(2)  Euroopan parlamentin kanta, vahvistettu 4. lokakuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 6. marraskuuta 2018.

(3)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(4)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(5)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(6)  Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).

(7)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 593/2008, annettu 17 päivänä kesäkuuta 2008, sopimusvelvoitteisiin sovellettavasta laista (Rooma I) (EUVL L 177, 4.7.2008, s. 6).

(8)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(9)  Neuvoston puitepäätös 2006/960/YOS, tehty 18 päivänä joulukuuta 2006, Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta (EUVL L 386, 29.12.2006, s. 89).

(10)  Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU, annettu 3 päivänä huhtikuuta 2014, rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä (EUVL L 130, 1.5.2014, s. 1).

(11)  Tietoverkkorikollisuutta koskeva Euroopan neuvoston yleissopimus, CETS nro 185.

(12)  Neuvoston asetus (EY) N:o 1206/2001, annettu 28 päivänä toukokuuta 2001, jäsenvaltioiden tuomioistuinten välisestä yhteistyöstä siviili- ja kauppaoikeudellisissa asioissa tapahtuvassa todisteiden vastaanottamisessa (EYVL L 174, 27.6.2001, s. 1).

(13)  Neuvoston direktiivi 2006/112/EY, annettu 28 päivänä marraskuuta 2006, yhteisestä arvonlisäverojärjestelmästä (EUVL L 347, 11.12.2006, s. 1).

(14)  Neuvoston asetus (EU) N:o 904/2010, annettu 7 päivänä lokakuuta 2010, hallinnollisesta yhteistyöstä ja petosten torjunnasta arvonlisäverotuksen alalla (EUVL L 268, 12.10.2010, s. 1).

(15)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).


Top